定期、不定期由医院内部进行医院信息系统安全评估，用制度与程序来保障，将安全评估的结果用于网络安全持续改进活动。